#ParsedReport #CompletenessLow
09-08-2023

Distribution of Malware Disguised as Coin and Investment-related Content

https://asec.ahnlab.com/en/55944

Report completeness: Low

Actors/Campaigns:
Kimsuky

IOCs:
File: 6
Url: 4
Command: 1
Hash: 4

Soft:
chrome

Algorithms:
base64

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея текста заключается в том, что угрожающая группа Kimsuky занимается распространением вредоносных исполняемых файлов в виде самораспаковывающихся архивов (SFX) и документа Word, содержащего макрос VBA, замаскированный под файл, связанный с обменом монет, и пользователям рекомендуется проявлять осторожность при работе с такими файлами, поскольку они могут содержать вредоносный код, способный скомпрометировать их системы.
-----

Группа угроз Kimsuky занимается распространением вредоносных исполняемых файлов в виде самораспаковывающихся архивов (SFX). При выполнении этих файлов создается обычный файл документа, который затем используется для выполнения кода сценария, содержащегося во вредоносном URL. Вредоносные URL-адреса, используемые агентом угрозы, были идентифицированы и подтверждены. Помимо исполняемых файлов типа SFX, группа Kimsuky также распространяла документ Word, содержащий макрос VBA, который маскировался под файл, связанный с обменом монет.

При анализе код, загруженный с вредоносного URL-адреса, не выполнял какого-либо конкретного вредоносного поведения. Однако в соответствии с замыслом угрожающего агента через этот код могут быть выполнены различные вредоносные команды. Это может быть и передача учетных данных пользователя, и загрузка дополнительного вредоносного ПО. Поскольку вредоносные URL-адреса недоступны, невозможно определить, какой именно сценарий в итоге выполняется.

Поэтому пользователям рекомендуется проявлять осторожность при работе с файлами, которые, по всей видимости, исходят от группы Kimsuky, поскольку они могут содержать вредоносный код, который может быть использован для компрометации их систем. Кроме того, следует опасаться файлов, имеющих отношение к обмену монет, поскольку они могут оказаться вредоносными. Важно осознавать потенциальные риски, связанные с подобными угрозами, и принимать необходимые меры для защиты от них.

#ParsedReport #CompletenessHigh
10-08-2023

German Embassy Lure: Likely Part of Campaign Against NATO Aligned Ministries of Foreign Affairs

https://blog.eclecticiq.com/german-embassy-lure-likely-part-of-campaign-against-nato-aligned-ministries-of-foreign-affairs

Report completeness: High

Actors/Campaigns:
Duke (motivation: cyber_espionage)
Darkhalo
Stellarparticle

Threats:
Smuggling_technique
Lolbin_technique
Dll_sideloading_technique
Mispadu
Lolbas_technique
Noblebaron

Victims:
Ministries of foreign affairs of nato aligned countries

Industry:
Healthcare, Education, Financial, Energy, Government

Geo:
Russian, Germany, Ukraine, German, Norwegian, Russia

TTPs:

IOCs:
File: 8
Path: 1
Domain: 3
Hash: 5

Soft:
zulip, microsoft onedrive

Algorithms:
ror13, xor, zip

Win API:
ShellExecuteA, LdrLoadDll, InternetOpenA, InternetReadFile HttpSendRequestA HttpOpenRequestA InternetConnectA, InternetCloseHandle

Languages:
javascript, php

YARA: Found

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, code: 3, windows: 4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея текста заключается в том, что аналитики EclecticIQ обнаружили два вредоносных PDF-документа, маскирующихся под документы из посольства Германии и связанных с агентом постоянных угроз APT29. Документы содержат встроенный JavaScript-код для доставки многоступенчатой полезной нагрузки в формате HTML, а для сокрытия своих действий вредоносная программа использует процедуры хеширования Windows API и шифрования XOR.
-----

Аналитики EclecticIQ обнаружили два вредоносных PDF-документа, маскирующихся под документы из посольства Германии. Эти PDF-документы содержат встроенный JavaScript-код для доставки многоступенчатой полезной нагрузки в формате HTML и являются частью продолжающейся кампании, направленной на министерства иностранных дел стран, входящих в НАТО. В документах используются темы: Прощание с послом Германии и День германского единства, и содержат заманухи, заставляющие жертв открыть вложения. Анализ показал, что эта кампания связана с деятельностью группировки APT29, приписываемой Службе внешней разведки России (СВР).

При выполнении пользователем PDF-документа отображается окно предупреждения Open File. Если жертва откроет его, то код запустит вредоносный HTML-файл под названием Invitation_Farewell_DE_EMB. С помощью контрабанды HTML угрожающий агент доставляет ZIP-файл, содержащий вредоносное HTML-приложение (HTA). Заархивированный HTA-файл в итоге доставляет вариант вредоносной программы Duke. После выполнения HTA-файл перебрасывает три исполняемых файла в каталог C:\Windows\Tasks для боковой загрузки DLL.

По наблюдениям аналитиков EclecticIQ, вредоносная программа использовала хеширование Windows API для сокрытия имен вызовов функций Windows API, а также процедуры шифрования XOR для шифрования строковых значений. Для установления C2-соединения и смешивания с легитимным веб-трафиком злоумышленник использовал серверы Zulip. Опираясь на параметры в ранее идентифицированном URL, аналитики выявили второй PDF-файл. Этот PDF-файл, скорее всего, использовался для разведки или тестирования, поскольку не содержал полезной нагрузки, но уведомлял злоумышленника о том, что жертва открыла вложение.

#ParsedReport #CompletenessLow
10-08-2023

SpiderLabs Blog. Gootloader: Why your Legal Document Search May End in Misery

https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/gootloader-why-your-legal-document-search-may-end-in-misery

Report completeness: Low

Threats:
Gootkit
Seo_poisoning_technique
Watering_hole_technique
Cloaking_technique
Bloat

Victims:
Users from countries like the usa, australia, canada, south korea, and germany

Geo:
Spanish, Australia, German, Korean, French, Usa, Portuguese, Korea, Germany, Canada

ChatGPT TTPs:
do not use without manual check
T1218.001, T1105, T1064.002, T1086, T1071

IOCs:
File: 5
Hash: 6

Soft:
wordpress

Algorithms:
base64, sha1, sha256, gzip, zip

Languages:
javascript, php, jscript, python

Platforms:
x64

Links:
https://github.com/drole/CyberChef

#ParsedReport #ExtractedSchema

Classified images:
windows: 3, code: 8, schema: 1, chart: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Gootloader - это вредоносная система доставки полезной нагрузки, использующая технологии SEO poisoning, чтобы нацелиться на ничего не подозревающих пользователей и доставить им вредоносную полезную нагрузку. Кроме того, он использует различные методы обфускации, чтобы избежать обнаружения.
-----

Gootloader - это система доставки вредоносной полезной нагрузки, случаи использования которой в последнее время заметно участились. Предполагается, что она работает по принципу "вредоносное ПО как услуга", предоставляя услуги по доставке вредоносного ПО исключительно другим участникам угроз. Gootloader получил широкую известность благодаря использованию взломанных сайтов WordPress для распространения вредоносных программ и применению методов SEO (Search Engine Optimization) отравления для достижения высоких позиций в результатах веб-поиска.

Первоначальный вектор этой атаки использует технику, называемую "отравлением поисковой оптимизации" (SEO). Вредоносные агенты контролируют взломанную веб-страницу WordPress и используют механизм маскировки для предотвращения загрузки для нецелевых пользователей. Целью злоумышленников являются пользователи из таких стран, как США, Австралия, Канада, Южная Корея и Германия. Загружается внешний JavaScript, который накладывается на фальшивую страницу форума. Когда пользователь нажимает на ссылку для загрузки, он перенаправляется на другую веб-страницу WordPress. ZIP-файл содержит вредоносный .JS-файл, скрытый внутри легитимной библиотеки JavaScript.

Файл JavaScript, находящийся в загружаемом ZIP-файле, выступает в роли инсталлятора и запуска последующих скриптов полезной нагрузки. Он использует легитимную библиотеку JavaScript с открытым исходным кодом для маскировки вредоносного кода, который разбивается на фрагменты обфусцированных строк и расходится по всей легитимной библиотеке. За сбор всех этих фрагментов строк, их объединение, деобфускацию скрытого кода и его выполнение отвечает специальная функция.

Затем вредоносная полезная нагрузка устанавливается и сохраняется с помощью запланированного задания. Также выполняется команда PowerShell, содержащая жестко закодированный фрагмент PowerShell, который выполняется в зависимости от того, запущен ли скрипт с cscript или wscript. Эта команда используется для установления соединения с контролируемым злоумышленником хостом для получения дальнейших команд. Эти команды могут отличаться в зависимости от предпочтений, выбранных клиентами Gootloader.

Технология SEO-отравителей Gootloader, нацеленная на поисковые запросы, связанные с юридической тематикой, представляет собой серьезную угрозу для организаций и частных лиц, ищущих юридическую информацию в Интернете. Манипулируя результатами поисковых систем и заманивая ничего не подозревающих пользователей на скомпрометированные сайты, Gootloader использует доверие пользователей к результатам поиска для доставки вредоносной полезной нагрузки. Кроме того, на каждом этапе атаки он использует различные методы обфускации, что создает дополнительные сложности и затрудняет обнаружение и идентификацию вируса исследователями безопасности.

#ParsedReport #CompletenessHigh
10-08-2023

MoustachedBouncer: Espionage against foreign diplomats in Belarus

https://www.welivesecurity.com/en/eset-research/moustachedbouncer-espionage-against-foreign-diplomats-in-belarus

Report completeness: High

Actors/Campaigns:
Moustachedbouncer (motivation: cyber_espionage)
Turla (motivation: cyber_espionage)
Winter_vivern (motivation: cyber_espionage)
Strongpity

Threats:
Aitm_technique
Nightclub
Disco
Sharpdisco
Mosquito
Beacon
Driverpack
Revsocks
Themida_tool
Lightneuron
Dns_tunneling_technique
Wingo

Victims:
Foreign embassies in belarus

Industry:
Telco

Geo:
Czech, Russian, Canadian, Belarus, Asia, Russia, Egypt, Turkey, Africa, Ukraine, Belarusian

CVEs:
CVE-2022-27926 [Vulners]
CVSS V3.1: 6.1,
Vulners: Exploitation: True
X-Force: Risk: 6.1
X-Force: Patch: Official fix
Soft:
- zimbra collaboration (9.0.0)

CVE-2021-1732 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- microsoft windows 10 (1803, 1809, 1909, 2004, 20h2)
- microsoft windows server 2019 (-)
- microsoft windows server 2016 (1909, 2004, 20h2)


TTPs:
Tactics: 10
Technics: 21

IOCs:
Url: 3
Domain: 8
IP: 11
File: 19
Path: 22
Command: 1
Email: 4
Hash: 29

Soft:
zimbra, microsoft edge, microsoft edge update, windows service, outlook

Algorithms:
sha1, aes-cbc, crc-32, base64

Win API:
GetLogicalDrives, GetKeyState, BCryptImportKeyPair, BCryptDecrypt, CreateCompatibleDC, GetForegroundWindow, DnsQuery_A

Languages:
python, javascript

Platforms:
apple

Links:
https://github.com/kost/revsocks
https://github.com/zyantific/zydis
https://github.com/KaLendsi/CVE-2021-1732-Exploit/blob/main/ExploitTest/ExploitTest.cpp
https://github.com/korisk/csmtp/blob/master/CSmtp.cpp
https://github.com/kbinani/screenshot

#ParsedReport #ExtractedSchema

Classified images:
windows: 1, code: 15, schema: 2, dump: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: MoustachedBouncer - кибершпионская группа, действующая как минимум с 2014 г. и нацеленная на посольства иностранных государств в Беларуси и, вероятно, имеющая тесные связи с интересами этой страны. Группа использует два различных набора инструментов, NightClub и Disco, которые используют протоколы SMTP и IMAP для C&C-коммуникаций и доставляются с помощью AitM-атак для перенаправления проверок через портал захвата на C&C-сервер. MoustachedBouncer подозревается в использовании системы СОРМ в России для проведения своих операций.
-----

MoustachedBouncer - кибершпионская группа, действующая как минимум с 2014 года.

Группа нацелена на иностранные посольства в Беларуси и, скорее всего, придерживается белорусских интересов.

С 2020 года MoustachedBouncer использует технику "противник посередине" для перенаправления проверок через портал captive на C&C-сервер и доставки вредоносных плагинов через SMB-доли.

Вредоносная среда поддерживает такие шпионские модули, как скриншотер, аудиорекордер и похититель файлов.

Возможно, MoustachedBouncer тесно сотрудничает с другой группой, известной как Winter Vivern.

Первоначальным способом доступа к Disco является вмешательство в Интернет-доступ жертвы, возможно, на уровне провайдера.

Белорусские интернет-провайдеры должны обеспечить совместимость своего оборудования с системой СОРМ, которая позволяет властям осуществлять прямой удаленный доступ к коммуникациям пользователей и связанным с ними данным.

MoustachedBouncer оперирует двумя отдельными наборами инструментов под названиями NightClub и Disco.

Для осуществления своей деятельности MoustachedBouncer использует систему СОРМ.

Семейства вредоносных программ, используемых MoustachedBouncer, эволюционировали, и значительное изменение произошло в 2020 году, когда группа начала использовать атаки AitM.

#ParsedReport #CompletenessLow
10-08-2023

Xurum: New Magento Campaign Discovered

https://www.akamai.com/blog/security-research/new-sophisticated-magento-campaign-xurum-webshell

Report completeness: Low

Actors/Campaigns:
Xurum (motivation: cyber_criminal)
Magecart

Threats:
Wso-ng
Dirty_cow_vuln

Industry:
Financial

Geo:
Moscow, Netherlands, Russian, German, Guatemala, Germany

CVEs:
CVE-2022-24086 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- magento (le2.4.2, 2.4.3, 2.3.7, le2.3.6, <2.3.0)
- adobe commerce (2.3.7, 2.4.3, le2.4.2, le2.3.6, <2.3.0)

CVE-2016-5195 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 8.4
X-Force: Patch: Official fix
Soft:
- canonical ubuntu linux (16.10, 14.04, 16.04, 12.04)
- linux linux kernel (<3.4.113, <3.2.83, <3.10.104, <3.12.66, <3.16.38, <3.18.44, <4.1.35, <4.4.26, <4.7.9, <4.8.3)
- redhat enterprise linux (7.0, 6.0, 5)
- redhat enterprise linux tus (6.5)
- redhat enterprise linux eus (6.7, 7.1, 6.6)
have more...

IOCs:
File: 2
IP: 4
Email: 2

Algorithms:
base64

Languages:
php, javascript

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Исследователи компании Akamai обнаружили вредоносную кампанию, направленную на магазины Magento 2, использующую уязвимость инъекции шаблонов на стороне сервера (CVE-2022-24086) и другие вредоносные техники для получения конфиденциальной информации о пользователях. Злоумышленники демонстрируют высокий уровень экспертизы в Magento и нуждаются в дополнительных решениях безопасности для блокирования своих атак.
-----

Исследователи компании Akamai обнаружили вредоносную кампанию, направленную на магазины Magento 2 и получившую название Xurum.

Кампания активна с января 2023 года и эксплуатирует уязвимость инъекции шаблонов на стороне сервера (CVE-2022-24086).

Злоумышленники регистрируют новый компонент Magento, маскирующийся под GoogleShoppingAds, и используют расширенную веб-оболочку wso-ng, которая активизируется, когда злоумышленник отправляет cookie magemojo000 компоненту бэкдора.

Злоумышленники используют эксплойт Dirty COW (CVE-2016-5195) для попытки повышения привилегий в Linux.

Вредоносный PHP-скрипт, загружаемый с сервера xurum.com, имеет несколько стадий заражения.

Злоумышленники получают информацию о способах оплаты заказов на продажу за последние 10 дней и пересылают эти данные в свою зону падения xurum.com.

Злоумышленники создают пользователя-администратора с именем "mageworx" (или "mageplaza" в некоторых вариантах).

Судя по информации об IP-адресе, сервер xurum.com находится в Нидерландах и размещается у российской хостинговой компании VDSina.ru.

По крайней мере, один из сайтов был заражен простым веб-скаймером.

Злоумышленники используют старый добрый эксплойт Dirty COW (CVE-2016-5195) для локального повышения привилегий в Linux.

Злоумышленники демонстрируют высокий уровень экспертизы Magento и тратят значительное время на изучение его внутренних компонентов, создание инфраструктуры атаки и тестирование своих эксплойтов на реальных объектах.

#ParsedReport #CompletenessLow
10-08-2023

V3 Detects and Blocks Magniber Ransomware Injection (Direct Syscall Detection)

https://asec.ahnlab.com/en/55961

Report completeness: Low

Threats:
Magniber
Typosquatting_technique

Victims:
Chrome and edge users with the latest windows version

IOCs:
File: 3
Command: 1
Hash: 1
Url: 1

Soft:
internet explorer, windows security, chrome, task scheduler, windows defender

Crypto:
bitcoin

Functions:
Magniber

Win API:
NtGetContextThread, NtSetContextThread, NtCreateThreadEx, NtResumeThread

#ParsedReport #ExtractedSchema

Classified images:
code: 8, dump: 4, windows: 4, schema: 2

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Программа Magniber ransomware распространяется через тайпсквоттинг, ориентируясь на пользователей Chrome и Edge с последней версией Windows. Он внедряет вредоносный код в запущенный процесс, добавляет команду в планировщик задач для сохранения, удаляет теневые копии томов для невозможности восстановления и создает записки с требованием выкупа в биткоинах. Компания AhnLab предпринимает меры по обнаружению и удалению вредоносной активности.
-----

В течение последних нескольких лет стабильно распространяется программа Magniber, использующая в основном уязвимость Internet Explorer (IE). Однако в последнее время она переключила свое внимание на браузеры Edge и Chrome, маскируя вредоносные файлы под пакеты обновлений системы безопасности Windows. Поток заражения Magniber начинается с имени файла, например ERROR.Center.Security.msi. После выполнения он внедряет в запущенный процесс код ransomware для шифрования файлов. Затем он добавляет команду в планировщик задач для сохранения и удаляет теневые копии томов, чтобы исключить возможность восстановления.

Чтобы обойти метод подключения пользовательского режима, Magniber вызывает команду syscall API (NtCreateThreadEx) в месте, не входящем в ntdll.dll (0x000001C87630012). Эта техника, известная как Direct Syscall, может быть обнаружена с помощью новой функции в V3 (Direct Syscall Detection). После шифрования файлов пользователя Magniber создает в директориях с зашифрованными файлами примечания к выкупу (readme.htm) и представляет инструкцию по использованию браузера Tor для доступа к определенному URL-адресу для восстановления файлов. За восстановление файлов пользователя на странице доступа требуется заплатить биткоины.

В настоящее время Magniber распространяется в основном с помощью типосквоттинга, ориентируясь на пользователей Chrome и Edge с последней версией Windows. При распространении Magniber используются опечатки, допущенные при вводе доменов, поэтому при работе в Интернете следует соблюдать особую осторожность. В настоящее время компания AhnLab предпринимает меры по обнаружению и удалению вредоносной программы.

#ParsedReport #CompletenessLow
10-08-2023

Focus on DroxiDat/SystemBC

https://securelist.com/focus-on-droxidat-systembc/110302

Report completeness: Low

Actors/Campaigns:
Darkside
Fin12

Threats:
Droxidat
Systembc
Cobalt_strike
Beacon
Nokoyawa
Egregor
Ryuk

Victims:
Electric utility in southern africa/healthcare organization

Industry:
Energy, Government, Healthcare

Geo:
Brazil, Africa, African

ChatGPT TTPs:
do not use without manual check
T1090, T1064, T1036, T1546.002, T1547.003, T1545.006, T1560.002, T1565.001, T1543.002, T1566.003, have more...

IOCs:
Domain: 2
File: 1
Path: 12
IP: 5
Hash: 3

Crypto:
bitcoin

Algorithms:
sha1, sha256, xor

Platforms:
intel

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Во втором квартале 2023 г. атака с использованием маяков CobaltStrike и DroxiDat, нового варианта полезной нагрузки SystemBC, была направлена на критически важную инфраструктуру в одной из стран Южной Африки. Анализ инцидента показал, что злоумышленниками, скорее всего, были русскоязычные RaaS-киберпреступники, нацеленные на индустрию здравоохранения.
-----

Во втором квартале 2023 года на объект критической инфраструктуры в одной из стран Южной Африки была совершена атака с использованием маяков CobaltStrike и DroxiDat - нового варианта полезной нагрузки SystemBC. SystemBC, предлагаемый в качестве вредоносного ПО как услуги с 2018 года, представляет собой вредоносный бэкдор, используемый для кражи системной информации, создания и удаления ключей и значений реестра, выполнения файлов и реализации возможностей клиента mini-TOR.

Злоумышленники использовали один и тот же каталог perflogs, последовательно сопрягая SystemBC с Cobalt Strike. Общие данные профилей на хостах Cobalt Strike позволили предположить, что злоумышленники могли быть русскоязычными и, скорее всего, принадлежали к группе, известной как Pistachio Tempest или FIN12, которая в 2022 году атаковала индустрию здравоохранения.

Полезная нагрузка DroxiDat/SystemBC была впервые обнаружена в тысячах объектов, используемых длинным списком филиалов ransomware. Это простой профилировщик системы, который получает имя/имя пользователя активной машины, локальный IP и серийную информацию о томе, а также может соединяться с удаленными слушателями, шифровать и отправлять собранную системную информацию. Его непосредственным адресатом в C2 является 93.115.25.41:443. Третий объект DroxiDat был отправлен на сервер с возможностью добавления исполняемых записей в ключ реестра Software\Microsoft\Windows\CurrentVersion\Run.

В системе также были обнаружены маяки Cobalt Strike, расположенные в том же каталоге и имеющие схожую инфраструктуру. Маячки имели C2, посвященные энергетике, такие как powersupportplan.com и epowersoftware.com, с одинаковым значением license_id "license_id": "0x282d4156". ssh-сервер на хосте epowersoftware имел ту же версию ssh и RSA-ключ(и), что и сервер на powersupportplan.com.

Дальнейший анализ инцидента показал, что наряду с DroxiDat злоумышленники также развернули вымогательское ПО Nokoyawa, что свидетельствует о том, что их целью, скорее всего, было здравоохранение. Хотя связь с APT так и не была установлена, постоянное использование одного и того же каталога perflogs в нескольких инцидентах, последовательное сопряжение SystemBC и CobaltStrike, а также общие данные профилей узлов CobaltStrike позволили подтвердить, что злоумышленники, скорее всего, являются русскоязычными RaaS-киберпреступниками.

#ParsedReport #CompletenessHigh
10-08-2023

Unraveling Scattered Spider: A Stealthy and Persistent Threat Actor Targeting Telecom Networks

https://www.avertium.com/resources/threat-reports/unraveling-scattered-spider-a-stealthy-and-persistent-threat-actor

Report completeness: High

Actors/Campaigns:
0ktapus (motivation: financially_motivated)
Lazarus

Threats:
Byovd_technique
Anydesk_tool
Dwservice_tool
Logmein_tool
Screenconnect_tool
Teamviewer_tool
Sorillus_rat
Rustscan_tool
Blackbyte
Aitm_technique

Victims:
Telecom and business process outsourcing sectors

Industry:
Financial, Healthcare, Telco, Bp_outsourcing

Geo:
Canada, Netherlands, North-korean, Belgium, France, Italy, Germany, Australia, Japan

CVEs:
CVE-2019-16098 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: Unknown
X-Force: Risk: 7.8
X-Force: Patch: Unavailable
Soft:
- msi afterburner (4.6.2.15658)

CVE-2021-21551 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 8.8
X-Force: Patch: Official fix
Soft:
- dell dbutil 2 3.sys (-)

CVE-2015-2291 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 7.5
X-Force: Patch: Unavailable
Soft:
- intel ethernet diagnostics driver iqvw32.sys (1.03.0.7)
- intel ethernet diagnostics driver iqvw64.sys (1.03.0.7)

CVE-2021-35464 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- forgerock am (<6.5.3)
- forgerock openam (<14.6.3)


TTPs:
Tactics: 4
Technics: 6

IOCs:
Domain: 3
Hash: 18
IP: 10

Soft:
telegram, esxi, rsocx, azuread, beanywhere, domotz, pulseway, rport, trendmicro basecamp, zerotier, have more...

Algorithms:
sha256, sha1

Functions:
DbgPrintEx

Platforms:
intel

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея текста заключается в том, что Scattered Spider - это финансово мотивированный угрожающий агент, использующий тактику социальной инженерии и старые уязвимости ядра для проникновения на целевые устройства, и организации должны предпринять шаги для предотвращения его проникновения в свои сети путем внедрения средств контроля безопасности, обнаружения, MFA и систем исправления.
-----

Scattered Spider, или UNC3944, - финансово мотивированный угрожающий агент, известный своим умным использованием тактики социальной инженерии для проникновения на целевые устройства. В декабре 2022 года компания CrowdStrike обнаружила кампанию Scattered Spider, направленную на телекоммуникационный сектор и сектор аутсорсинга бизнес-процессов с целью проникновения в сети мобильных операторов. С тех пор активность злоумышленников не прекращалась, и они даже попытались использовать старую уязвимость вредоносного драйвера ядра (CVE-2015-2291) в драйвере диагностики Intel Ethernet одной из целевых систем.

Scattered Spider использует методы социальной инженерии, такие как телефонные звонки, SMS и Telegram, чтобы выдать себя за ИТ-персонал и получить первичный доступ. Скомпрометированные учетные данные также используются для получения несанкционированного доступа к арендатору Azure. Попав внутрь, Scattered Spider использует утилиты и средства удаленного мониторинга и управления для поддержания постоянного доступа. Чтобы избежать обнаружения, они используют стандартную схему именования при подключении собственных систем к VPN-соединениям организации-жертвы и имитируют принятые в организации соглашения об именовании при настройке систем в инфраструктуре виртуальных рабочих столов. Кроме того, Scattered Spider ориентируется на гипервизоры VMware ESXi, устанавливая на ESXi-устройство два специфических инструмента: реверсивный прокси с открытым исходным кодом rsocx и средство удаленного мониторинга и управления (RMM) Level.

Угрожающий агент также пытается развернуть атаку Bring Your Own Vulnerable Driver (BYOVD) через старую уязвимость ядра (CVE-2015-2291). BYOVD позволяет использовать известные уязвимости в драйверах сторонних производителей, что приводит к компрометации системы, финансовым потерям и сбоям в работе. Компания Microsoft планировала блокировать драйверы с подтвержденными недостатками безопасности на устройствах под управлением Windows 10 с помощью технологий Defender for Endpoint attack surface reduction (ASR) и Windows Defender Application Control (WDAC). Однако в октябре 2022 года два тревожных инцидента пролили свет на опасность атак типа "принеси свое собственное уязвимое устройство" (BYOVD), подчеркнув потенциальные угрозы, с которыми сталкиваются организации.

Организации должны знать об инструментах и тактике, используемых Scattered Spider, и принимать меры по предотвращению их проникновения в свои сети. Для противодействия эволюционирующим угрозам, исходящим от этих противников, должны быть внедрены средства контроля и обнаружения. Для защиты учетных данных пользователей должна использоваться многофакторная аутентификация (MFA), пользователи должны быть осведомлены о тактике фишинга, а системы должны регулярно исправляться и обновляться. Кроме того, организации должны следить за своими сетями на предмет подозрительной активности и иметь планы реагирования на инциденты в случае утечки данных. Принятие этих мер позволяет снизить риск стать жертвой атаки Scattered Spider.

#ParsedReport #CompletenessHigh
11-08-2023

Stealthy Malicious MSI Loader Overlapping Technique and Infrastructure with BatLoader

https://www.cyfirma.com/outofband/stealthy-malicious-msi-loader-overlapping-technique-and-infrastructure-with-batloader

Report completeness: High

Threats:
Msi_loader
Batloader
Anydesk_tool
Emotet
Trickbot
Kovter
Andromeda
Carberp
Gozi
Process_injection_technique

Victims:
Organizations and individuals relying on windows operating systems

Industry:
Healthcare, Government, Financial

Geo:
Netherlands, Australia, Russia, Canada, America, Russian, Korea, Germany

TTPs:
Tactics: 6
Technics: 10

IOCs:
File: 3
Domain: 2
Url: 1
Path: 2
Hash: 2
IP: 3

Soft:
windows defender, net framework, microsoft windows defender

Algorithms:
exhibit, sha256

Languages:
php